서울 시내에 위치한 써브웨이 매장 앞./뉴스1 © News1 임세영 기자
개인정보보호위원회는 1일 샌드위치 프랜차이즈 업체 써브웨이에서 개인정보 노출 정황에 대한 조사에 착수했다고 밝혔다.
써브웨이는 지난달 26일 조사에 착수한 한국파파존스와 동일하게 홈페이지 웹주소(URL) 뒷자리 숫자 변경 시 다른 고객의 연락처, 주문내역 등 주문정보가 별도 인증절차 없이 확인가능한 상태로 운영된 것으로 알려졌다.
개인정보위는구체적인 유출 경위 및 피해규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고 법 위반 발견 시 관련 법령에 따라 처분할 예정이다.
써브웨이 측은 "최근 PC를 통한 당사 웹사이트 온라인 주문 서비스에서 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견했다"며 "당사는 이 문제 해결을 위해 즉각적인 조치를 취했고, 현재는 해결한 상태"라고 밝혔다.
개인정보위는 두 사건 모두 홈페이지 주소의 파라미터 변조가 원인이라는 점에서 사업자들이 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다고 설명했다.
개인정보위는 주문·배달 과정에서 개인정보 처리가 필수적으로 수반되는 식·음료 분야에 대해 전반적인 개인정보 처리실태 조사를 진행하고 있으며, 올해 하반기 조사결과를 발표할 예정이다.
lgirim@news1.kr